Un joven hacker de 22 años, que vive a 250 kilómetros de Nueva Delhi, logró lo que la mayoría de los usuarios de internet intentan a diario y que parecía imposible: acceder a una cuenta de Facebook.
Anand Prakash descubrió una vulnerabilidad en el software que le permitió fácilmente hackear cualquier cuenta de Facebook, ver mensajes de conversaciones y detalles de tarjetas de crédito asociadas, e incluso publicar en un muro.
Por 72 horas, la seguridad de todos los usuarios de la red social de Mark Zuckerberg quedó expuesta en la versión beta, accesible a través de beta.facebook.com, utilizada por desarrolladores.
Prakash identificó el fallo el cual permitía explotar sin freno el algoritmo de “¿Has olvidado tu contraseña?”.
Cuando el usuario pierde su contraseña y realiza la recuperación de la misma, Facebook envía un código de validación de seis dígitos, el cual tiene un limite de intentos para ser introducido, como medida de seguridad, y si este se excede se bloquea el proceso. Sin embargo en la versión beta se permitía fallar infinitamente.
Y para validar su hallazgo, lo demostró con un screencast de todo el proceso que publicó en YouTube:
Para Anand, que también es un cazador de recompensas, ésta fue su oportunidad para mostrarle a la compañía del peligro que había para sus usuarios y corrigiera el fallo. Así que contactó a la red social el 22 de febrero y en recompensa recibió 15 mil dólares el pasado 2 de marzo.
Facebook dijo que el sistema estuvo expuesto durante no más de 72 horas y que el error apareció cuando realizaban cambios en sus sistemas de back end.
“Uno de los beneficios más valiosos de los programas de recompensas de errores es la posibilidad de encontrar problemas incluso antes de que lleguen a la producción” explica la compañía. (Con información de The Telegraph, Times of India y Tech Insider)